IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

CrowdStrike accepte un Pwnie Award pour « l'échec le plus épique » lors de la conférence Defcon.
Certains participants pardonnent à Crowdstrike et d'autres blâment Microsoft Windows pour la panne

Le , par Stéphane le calme

31PARTAGES

8  0 
Juste quelques semaines après que sa mise à jour logicielle ait provoqué une panne informatique mondiale, CrowdStrike n’a pas hésité à se mettre en avant. En fait, le président de l’entreprise, Michael Sentonas, est monté sur scène lors des Pwnie Awards pour accepter le prix du « plus grand échec épique ». Ces prix ont eu lieu à la conférence Def Con, juste après le Black Hat, où CrowdStrike avait l’un des plus grands stands et distribuait des t-shirts gratuits et des figurines.

Mercredi matin, des milliers de professionnels de la cybersécurité ont envahi les halls du Mandalay Bay Convention Center de Las Vegas, épicentre de la conférence annuelle Black Hat sur la cybersécurité, où des dizaines d'entreprises présentaient leurs produits.

Au premier rang et avec l'un des plus grands stands se trouvait CrowdStrike, une société qui est récemment devenue un nom familier - mais pas en raison de ses prouesses pour arrêter les piratages.

Le 19 juillet, CrowdStrike a diffusé une mise à jour logicielle défectueuse qui a fait planter au moins 8,5 millions d'ordinateurs dans le monde entier, entraînant des retards de vols, perturbant le fonctionnement des hôpitaux - y compris certaines opérations chirurgicales - et paralysant plusieurs agences gouvernementales américaines, parmi de nombreuses autres organisations qui ont dû redémarrer manuellement les ordinateurs et les serveurs pour revenir à la normale.

Depuis lors, CrowdStrike a partagé des mises à jour sur sa propre enquête sur la panne. La société a également offert des cartes-cadeaux Uber Eats de 10 dollars à ses partenaires, dont certains ont dû passer des heures à se remettre de l'incident, afin de les remercier sincèrement et de leur présenter ses excuses pour la gêne occasionnée.

Selon un porte-parole de CrowdStrike, plusieurs personnes ayant reçu le bon - dont certaines estimaient que le cadeau n'était pas à la hauteur - n'ont pas pu encaisser la carte-cadeau avant qu'Uber ne la signale comme frauduleuse, « en raison d'un taux d'utilisation élevé ».

Sur les boîtes de figurines empilées sur le stand de l'entreprise, qui étaient constamment réapprovisionnées, CrowdStrike a fait figurer un message concernant la panne. « Les adversaires ne s'arrêtent pas. Nous non plus », disait le message. « La résilience commence avec nous. Nous nous concentrons sur vous ».

La société a projeté le même message sur un grand écran dans le couloir qui mène du casino Mandalay Bay au centre de convention.

Kevin Benacci, directeur principal de la communication de CrowdStrike, a déclaré que « ce message exprime notre gratitude et notre reconnaissance à l'égard de la communauté Black Hat, ainsi que le soutien que nous avons reçu après l'incident ». Benacci a ajouté que l'entreprise avait « des membres de l'équipe technique dans le stand pour s'occuper de l'incident ».


CrowdStrike reçoit un Pwnie Award

Les Pwnie Awards récompensent à la fois l'excellence et l'incompétence dans le domaine de la sécurité de l'information. Les gagnants sont sélectionnés par un comité de professionnels de l'industrie de la sécurité parmi les nominations recueillies auprès de la communauté de la sécurité de l'information. Les nominations sont annoncées chaque année lors de la Summercon, et les prix eux-mêmes sont décernés lors de la conférence Black Hat sur la sécurité.

La décision d’accorder ce prix à CrowdStrike a été prise à la dernière minute, car comment CrowdStrike aurait-il pu ne pas gagner ? Lorsqu’un trophée comiquement grand a été apporté sur scène sous les applaudissements nourris, Sentonas a admis que ce n’était « certainement pas le prix dont on peut être fier de recevoir ». Il a ajouté : « Parce que nous avons complètement échoué, nous l’avons dit à plusieurs reprises, il est très important de se féliciter lorsque vous faites bien les choses, mais il est également très important d’assumer lorsque vous faites complètement fausse route ».

Sentonas a déclaré qu’il ramènerait le trophée au siège de CrowdStrike et le mettrait en évidence comme un rappel que « notre objectif est de protéger les gens, et nous avons échoué ici, et je veux m’assurer que tout le monde comprenne que ces choses ne peuvent pas arriver ».

Certaines personnes au Def Con pardonnent Crowdstrike, tandis que d’autres blâment Microsoft Windows

Lors de la conférence annuelle de sécurité Black Hat, Crowdstrike jouit d’un moment de notoriété culturelle étrange. Les visiteurs affluent vers son stand pour prendre des selfies et récupérer des t-shirts et autres articles promotionnels de la société. Certains participants ont réagi avec indifférence à l’idée que Crowdstrike puisse être tenu responsable d’un problème lié à une mise à jour de routine, un incident qui pourrait toucher n’importe quelle entreprise de sécurité étroitement liée à Microsoft Windows.

« Est-ce que cela diminue mon opinion sur leur capacité à être une entreprise de sécurité de pointe ? Je ne pense pas », a déclaré un employé du gouvernement américain, qui dit utiliser CrowdStrike tous les jours. L'employé a demandé à rester anonyme car il n'était pas autorisé à parler à la presse. Un autre employé du gouvernement américain qui a également déclaré utiliser CrowdStrike dans le cadre de son travail, a affirmé qu'il continuerait à utiliser les produits de l'entreprise et qu'il n'avait pas perdu confiance en elle.

Un ingénieur en sécurité a déclaré qu'une partie de son entreprise a été affectée par la panne, mais qu'elle a pu se rétablir dans les 24 heures. « CrowdStrike s'est montré très efficace en fournissant des conseils de remédiation et en faisant tout ce qui était en son pouvoir pour rétablir la situation », a-t-il déclaré, ajoutant que son opinion sur CrowdStrike n'avait pas changé et qu'il n'envisageait « absolument pas » de passer à un autre fournisseur. « Ils sont les meilleurs de leur catégorie, ils sont au sommet de leur art », a-t-il déclaré.

Un avis qui n'a pas fait l'unanimité

Seth Faeder, ingénieur chez ClearChoice Dental Implants Centers, a déclaré que son entreprise n'a pas été touchée parce qu'elle utilise Sophos, un concurrent de CrowdStrike. Mais sa société mère utilise CrowdStrike, et lui et son équipe ont donc dû aider à remettre en ligne les postes de travail touchés, ce qui « n'a pas été très amusant ». « Cela m'a donné une vision plus négative de l'entreprise, c'est certain », a déclaré Faeder. « Nous avons fini par dire à [ses collègues] qu'ils devraient peut-être s'intéresser à Sophos après cela ».

Certains soulignent la fragilité de l'écosystème de sécurité.

Ebenezer Chunduru, analyste de sécurité chez CapMetro, une entreprise qui a déclaré avoir été touchée par la panne, a déclaré que l'incident avait ouvert les yeux sur la fragilité des outils de cybersécurité. « Pouvons-nous faire confiance à un quelconque outil à l'heure actuelle ? Nous ne devrions pas dépendre d'un outil. Mais en même temps, ils font un très bon travail ».

D’autres ont souligné que Microsoft devrait également assumer sa part de responsabilité dans cette panne.

Selon eux, la conception de Windows dans son architecture centrale favorise l’instabilité des pilotes, les logiciels malveillants et les logiciels espions. « Microsoft ne devrait pas accorder un tel niveau d’accès à des tiers », a déclaré un expert en cybersécurité. « Microsoft se plaint que c’est simplement la façon dont fonctionne la technologie ou les licences, mais c’est absurde, car ce même problème n’a pas affecté Linux ou Mac. Et Crowdstrike l’a détecté très tôt. »

Conclusion

Lors de la conférence Black Hat, CrowdStrike a fait comme si de rien n'était, malgré la panne informatique mondiale qui a provoqué des perturbations et des retards pendant plusieurs jours, voire plusieurs semaines pour certains clients. La conférence a eu lieu au moment où CrowdStrike a publié son analyse des causes profondes expliquant ce qui s'est passé le jour de la panne. En résumé, CrowdStrike a admis avoir commis une erreur, mais a déclaré avoir pris des mesures pour éviter qu'un tel incident ne se reproduise. Certains professionnels de la cybersécurité présents à la conférence Black Hat semblent prêts à donner une seconde chance à l'entreprise.

Source : Black Hat

Et vous ?

Quelle est votre opinion sur la transparence des entreprises en matière de cybersécurité ? CrowdStrike a choisi d’assumer publiquement son échec. Pensez-vous que d’autres entreprises devraient faire de même lorsqu’elles commettent des erreurs ?
Quelles mesures CrowdStrike devrait-elle prendre pour éviter de tels incidents à l’avenir ? Comment peuvent-ils améliorer leurs processus de mise à jour et de test ?
Quel est l’impact potentiel d’une panne informatique mondiale causée par une entreprise de cybersécurité ? Comment cela pourrait-il affecter la confiance des clients et la réputation de l’entreprise ?
Devrions-nous être plus indulgents envers les entreprises qui travaillent dans des domaines complexes et risqués comme la cybersécurité ? Ou devrions-nous être plus critiques envers leurs erreurs ?
Quelles sont les leçons que d’autres entreprises de cybersécurité peuvent tirer de cet incident ?
Quelle est votre opinion sur la responsabilité des entreprises de cybersécurité lorsqu’un problème survient avec une mise à jour de routine ? Certains soutiennent que Crowdstrike devrait être pardonné, tandis que d’autres estiment que toute entreprise liée à Microsoft Windows doit assumer sa part de responsabilité.
Pensez-vous que Microsoft devrait revoir la conception de Windows pour éviter de tels problèmes à l’avenir ? Certains experts affirment que l’architecture centrale de Windows favorise l’instabilité des pilotes et des logiciels malveillants. D’autres pensent que Microsoft devrait mieux contrôler l’accès des tiers.
Quelles mesures les entreprises de cybersécurité devraient-elles prendre pour éviter de tels incidents à l’avenir ? Devraient-elles être plus transparentes sur leurs processus de détection et de correction des vulnérabilités ?
Pensez-vous que la notoriété culturelle de Crowdstrike devrait être affectée par cet incident ? Certains participants au Def Con semblent indifférents, tandis que d’autres remettent en question la crédibilité de l’entreprise.

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de floyer
Membre éclairé https://www.developpez.com
Le 29/08/2024 à 15:33
N’importe quel OS qui permet des extensions en mode noyau s’expose à ce risque. Les différents OS type UNIX n’y échappent pas. (D’ailleurs une mise à jour de Crowdstrike a provoqué des kernel panic sur Linux).

L’architecture de Windows depuis NT n’a rien à voir avec DOS, contrairement à ce que tu sembles dire.

L’approche qui changera vraiment quelque chose est le micronoyau (Mach, QNX, SeL4…) et encore, si un module est un SPOF (typiquement un système de fichier), un défaut dans ce module compromet le fonctionnement du système. Cette approche pourrait rogner un peu les performances… mais pour des applications critiques, pourquoi pas. (Cela me rappelle l’arrivée d’OS/2 où la presse s’indignait oh là là, on perd 2% de performances par rapport à un OS non sécurisé)

Et le principe de mise à jour automatique est vraiment le cœur du problème. Imaginons Oracle « pousser » une nouvelle pile Java à l’insu des développeur et exploitant… même si elle ne tourne qu’en mode utilisateur, cela peut bloquer beaucoup d’applications potentiellement critiques.
5  0 
Avatar de Mat.M
Expert éminent sénior https://www.developpez.com
Le 15/08/2024 à 18:06
La vision des choses de Mr Sterone, rien à commenter tout est dit:

3  0 
Avatar de PomFritz
Membre confirmé https://www.developpez.com
Le 16/08/2024 à 21:42
Face à l'incompétence généralisée, ça panique chez les gratte-papier, zéro mise en perspective et Microsoft se frotte les mains. On dirait une communication du service marketing, pas d'experts.
3  0 
Avatar de OrthodoxWindows
Membre expert https://www.developpez.com
Le 25/08/2024 à 15:19
CrowdStrike découvre qu'il vaut mieux tester une mise à jour avant de la déployer, surtout sur un logiciel qui se place à un stade critique de l'OS, sur un ordi utilisé pour un usage critique.
CrowdStrike découvre qu'en cas de problème grave, la seul confiance avec le client ne fonctionne plus.
Désormais CrowdStrike découvre qu'il existe un système concurrentiel, où chaque concurrent attend qu'un concurrent fasse une connerie.

Bientôt CrowdStrike découvrira qu'il est une entreprise spécialisé dans le domaine de la cybersécurité, dans un contexte d'économie capitaliste libérale.

Ah moins que CrowdStrike se foute tout simplement de la g**** du monde.
3  0 
Avatar de floyer
Membre éclairé https://www.developpez.com
Le 17/08/2024 à 11:10
Il y a beaucoup d’applications qui ont besoin d’un accès privilégié : pilotes (périphérique réels ou virtuel), antivirus, chiffrement de disque, firewall, probablement des éléments des machines virtuelles (virtual box).

Mais le problème concerne ici les mises à jour non testées. Mettre en place une sorte de sas où des machines représentatives essuient les plâtres des mises à jour, puis déploiement progressif aurait évité les problèmes. Alors bien sûr, il faut s’écarter du principe « installez le logiciel et on s’occupe de tout »
2  0 
Avatar de Aiigl59
Membre actif https://www.developpez.com
Le 04/10/2024 à 16:43
"Un cadre supérieur de la société de cybersécurité CrowdStrike s'est excusé devant la Chambre des représentants des États-Unis"
ça nous fait une belle jambe !
2  0 
Avatar de OuftiBoy
Membre éprouvé https://www.developpez.com
Le 29/10/2024 à 21:07


Citation Envoyé par Mathis Lucas Voir le message
David Weston déclare : « la différence de gravité des problèmes entre le mode noyau et le mode utilisateur est que si vous tombez en panne dans le noyau, c'est toute la machine qui tombe en panne. Si une application tombe en panne en mode utilisateur, nous pouvons généralement la récupérer ». Cet état de choses peut amener à privilégier le mode utilisateur et à limiter l'accès au noyau pour protéger les clients de Windows. Mais Microsoft mise sur les SDP :
C'est le ba-ba niveau sécurité. C'est bien des bonnes pratiques, mais ça ne résoud pas le problème de fond. L'accès au noyau doit-être "sécurisé", point. Et le meilleur moyen, c'est d'en interdire l'accès. Au minimum, les sociétés ayant besoin de cet accès doivent travailler en "trés" étroite collaboration avec une équipe de Microsoft. Equipe dont ce serait la spécialité et l'unique but.

Citation Envoyé par Mathis Lucas Voir le message
Les SDP ne sont pas une idée nouvelle. L'USENIX a publié en 2004 un article de l'université d'Utrecht intitulé « A Safe and Policy-Free System for Software Deployment ». La première phrase de ce document est la suivante : « les systèmes existants pour le déploiement de logiciels ne sont ni sûrs ni suffisamment flexibles ». Ce problème des SDP n'a pas encore été résolu, et une telle solution est un aspect important des plans de Microsoft pour limiter les pannes futures.
C'est quand même étonnant de lire ça. Le document a plus de 20 ans... Ils n'avaient donc pas de plans avant cette panne ? C'était "open bar" et chacun faisait ce qu'il voulait dans son coin ? Pour un composant logiciel aussi "critique", il faut que l'éditeur de l'OS "certifie" ce logiciel. S'il n'est pas en mesure de la faire, alors c'est qu'il accepte l'état de fait que leur noyau peut être perturbé par n'importe qui faisant n'importe quoi, involontairement ou pas.

Citation Envoyé par Mathis Lucas Voir le message
Ce point a été discuté lors du sommet de septembre. Dans un billet de blogue sur le sommet, David Weston avait écrit : « cette riche discussion lors du sommet se poursuivra dans le cadre d'un effort de collaboration avec nos partenaires MVI [Microsoft Virus Initiative] afin de créer un ensemble partagé de meilleures pratiques que nous utiliserons en tant qu'écosystème à l'avenir ». Le billet abordait également les difficultés rencontrées par Microsoft et ses partenaires :

« Nous avons discuté des moyens d'éliminer les conflits entre les différentes approches SDP utilisées par nos partenaires et de réunir toutes les parties en un consensus sur les principes du SDP. Nous voulons que tout soit transparent, mais nous voulons aussi que cette norme devienne une exigence pour travailler avec Microsoft », explique David Weston à SecurityWeek. La question est de savoir comment Microsoft fera respecter l'application rigoureuse de ces mesures.
Bien dit, donc Microsoft n'avait non seulement pas de plan, mais est incapable d'en faire respecter un ? Y'a pas une IA pour ça ? C'est dit juste en dessous:

Citation Envoyé par Mathis Lucas Voir le message
Convenir d'un ensemble de pratiques de déploiement sûres et les exiger des partenaires est une chose ; s'assurer que ces partenaires emploient les SDP convenues en est une autre. « L'application technique serait un défi. La transparence et la responsabilité semblent être la meilleure méthode pour l'instant », affirme David Weston. Microsoft dispose toutefois d'un pouvoir. Si un partenaire a ignoré les SDP, Microsoft peut retirer sa signature à tout pilote de noyau.
Et comment savoir si ce "partenaire" a ignoré les SDP ? Une fois une panne découverte ? Parce que compter sur la "transparence et la responsabilité", c'est bien beau, mais ça n'êmpéchera pas une nouvelle catastrophe de se produire.

"Ce serait un défit technique"

Comment un responsable peut-il tenir de telles propos ? Ils ont assez de moyens financiers pour et des équipes en suffisance pour justement régler les "défits techniques". C'est un aveux d'impuissance terrible.

Citation Envoyé par Mathis Lucas Voir le message
« C'est de la même manière que nous travaillons aujourd'hui avec les agences de certification racine. Nous avons une norme, et si vous ne respectez pas cette norme de sécurité, nous pouvons vous retirer, ce qui aurait un impact considérable sur vos activités. En même temps, l'insistance sur la transparence montrerait aux clients que ce fournisseur n'est pas honnête avec eux. Nous pensons que ce niveau d'application est assez efficace », explique David Weston.
C'est bien qu'il le pense, mais des entreprises ont perdu des sommes considérables, et je trouve leur réponse un peu "juste"

Citation Envoyé par Mathis Lucas Voir le message
« En résumé, les SDP sont le meilleur outil dont nous disposons pour mettre fin aux interruptions de service. Le mode noyau, le mode utilisateur - je ne dis pas qu'ils ne sont pas valables, je dis simplement qu'ils représentent une partie beaucoup plus petite du problème. les SDP peuvent aider à prévenir les pannes à l'intérieur et à l'extérieur du noyau », a-t-il ajouté. David Weston n'a pas donné de détails sur les travaux de Microsoft et les fournisseurs de logiciels de sécurité.
Bref, le monsieur dit, c'est "un défit technique", on a ni les moyens, ou ni l'envie, et/ou ni la compétence pour régler cela, alors on compte sur la bonne volonté et les bonnes pratique.

Citation Envoyé par Mathis Lucas Voir le message
Source : David Weston, vice-président de la sécurité des entreprises et des systèmes d'exploitation chez Microsoft
Nous voilà rassuré

Citation Envoyé par Mathis Lucas Voir le message
Et vous ?
Citation Envoyé par Mathis Lucas Voir le message
Quel est votre avis sur le sujet ?
Mon avis est que tout celà n'est pas rassurant du tout.

Citation Envoyé par Mathis Lucas Voir le message
Que pensez-vous de l'avis de Microsoft sur la restriction de l'accès au noyau Windows ?
Apparemment, il y aura restriction après la découverte de "mauvaise pratique", en retirant le certificat. Il faudrait inverser l'ordre des choses, c'est à dire au minimum s'assurer AVANT de permettre la diffusion que les "bonnes pratiques" ont été respectées.

Citation Envoyé par Mathis Lucas Voir le message
Que pensez-vous des « pratiques de déploiement sûres » (SDP) mises en avant par Microsoft ?
Que ça n'empêchera pas d'autres pannes de ce genre.

Citation Envoyé par Mathis Lucas Voir le message
Selon vous, en quoi pourraient constituer « ces pratiques de déploiement sûres » ?
C'est à Microsoft qu'il faudrait poser cette question. Je ne suis pas expert du noyau Windows, mais dire que ce serait un "défit technique", pour une société comme Microsoft me laisse sans voie.

Citation Envoyé par Mathis Lucas Voir le message
Cette approche permettrait-elle de garantir la sécurité du noyau Windows et limiter les pannes à l'avenir ?
J'ai des doutes...

BàV et Peace & Love.
2  0 
Avatar de calvaire
Expert éminent https://www.developpez.com
Le 30/10/2024 à 9:30
ce que je repproche a windows ce sont les outils pour réparer l'os completement inexistant.

déja l'outil pour faire des sauvegarde, c'est écrit windows 7 dessus, ms la abandonné sans proposer d'alternative et pour se dédouaner de toute responsabilité sur les autres versions de l'os a mis "windows 7".

ensuite, pour debugger un écran bleu c'est une catastrophe, sous linux on a des logs erreurs bien explicite, pas des core d'erreurs obscure.

ensuite, les outils de réparations de l'os fournie dans le cd d'install, c'est obscure, ca affiche un message tentative de réparation en cours sans rien savoir de ce qu'il fait
meme chose pour le mode sans echec, dans windows xp en mode sans échec il affichait les fichiers qu'il chargeait au moins.

si l'os pouvait dire quels fichiers ont été ajouté pour chaque programme aussi, un peu comme on a avec apt.

le must serait un mode command line minimal comme sous linux avec un microkernel de secours, ca permettrait de manipuler l'os, de supprimer des drivers ou les programmes qui corrompt l'os.
2  0 
Avatar de floyer
Membre éclairé https://www.developpez.com
Le 15/08/2024 à 18:48
Citation Envoyé par Mat.M Voir le message
La vision des choses de Mr Sterone, rien à commenter tout est dit:

Les mises à jour pourries qui viennent d’un vendeur n’est pas un événement inimaginable… les bases de l’ITIL… que de bon sens (oublié?).

Bon, les bases ne permettent pas de tout éviter - j’ai vu une mise à jour bien se passer sur un échantillon, puis sur 10 000 postes, ok sauf sur 2000 à cause d’incompatibilité sur un logiciel déployé sur ces derniers - mais des procédures (à roder au fil des incidents) semblent nécessaires… là, avec CrowdStrike, no procedure, no control, no responsibility ?…
1  0 
Avatar de NotABread
Membre habitué https://www.developpez.com
Le 26/08/2024 à 0:01
Bon, alors il va falloir accepter qu'un logiciel peut planter, et si c'est au niveau du noyau, il entraine le système d'exploitation avec lui. C'est comme ça que ça marche, c'est un risque très connu et installer un programme s'exécutant au niveau du noyau, c'est accepter ce risque.
Le problème de cet histoire, c'est juste qu'il faut un fautif et que tout le monde va se renvoyer la balle en cherchant à grappiller du terrain:
- Les compagnies aériennes vont dire que c'est de la faute de Crowdstrike et Microsoft pour respectivement avoir pousser un logiciel qui plante et avoir un OS pas assez robuste
- Microsoft dira que c'est de la faute de l'EU de l'avoir empêcher de fermer l'accès au noyau
- Crowdstrike dira certainement qu'avec une meilleure politique de déploiement de MAJ, ces client auraient pu éviter une paralysie de leur système informatique

La pire solution pour moi est le blocage des accès noyau sauf ceux approuvé:
bien que ça va certainement rendre plus difficile l'exécution de malware au niveau noyau, ça va forcément réduire la concurrence puisque Microsoft fera payer l'accès et cela ne garantira pas la stabilité du programme

Passer à une API dans un langage garantissant la sécurité de la mémoire comme Rust ou implémenter un système similaire à celui de Linux va être un coût non anodin pour tous, mais à long terme pourrait grandement améliorer la stabilité de l'écosystème.
1  0